Ботнет Rmnet, не смотря на заявления, все еще активен


Hit Web24 февраля 2015 года совместными усилиями Европейского центра борьбы с киберпреступлениями Европола (Europol's European Cybercrime Centre), CERT-EU (Computer Emergency Response Team), компании Symantec, Microsoft, AnubisNetworks и другими организациями из стран Европы, были отключены командные серверы бот-сети Rmnet. По сообщению Европола, специалисты по информационной безопасности перехватили порядка 300 доменов управляющих серверов, которые были сгенерированы вредоносной программой. В свою очередь агентство "Рейтерс" упоминает, что в ходе операции было заблокировано 7 действующих управляющих серверов. Symantec заявил, что в результате этой операции была прекращена деятельность ботнета из 350 тыс. инфицированных устройств. А в Microsoft заверили, что их общее количество достигало 500 тыс.

Специалисты компании Доктор Веб в свою очередь продолжают отслеживать несколько подсетей ботнетов, созданных злоумышленниками с использованием различных версий файлового вируса Rmnet. Так, например, одна из модификаций,  которая получила наименование Win32.Rmnet.12.

Напомним, что Win32.Rmnet.12 — сложный многокомпонентный файловый вирус, состоящий из нескольких модулей и обладающий способностью к саморазмножению. Он способен:

  • выполнять поступающие от злоумышленников команды;
  • встраивать в просматриваемые пользователем веб-страницы постороннее содержимое (что позволяет киберпреступникам получать доступ к банковской информации жертвы);
  • красть файлы cookies и пароли от наиболее популярных FTP-клиентов (Ghisler, WS FTP, CuteFTP, FlashFXP, FileZilla, Bullet Proof FTP и некоторых других).


В свою очередь Win32.Rmnet.16 отличается от своей предшественницы рядом архитектурных особенностей, например, использованием цифровой подписи при выборе управляющего сервера. Вредонос способен:

  • осуществлять скачивание и запуск произвольного файла;
  • обновлять себя;
  • создавать и отправлять злоумышленникам снимки экрана;
  • уничтожить операционную системы.


Также модуль бэкдора наделен функционалом, позволяющим "убивать" процессы большинства наиболее распространенных антивирусных программ, выполнять запись в загрузочную область диска (MBR), а также сохранять свои файлы в конце диска в зашифрованном виде.

Несмотря на многочисленные заявления информационных агентств об успехе операции по блокированию деятельности ботнета Rmnet, специалисты Доктор Веб заверяют, что снижения активности бот-сетей, за поведением которых вирусная лаборатория ведет непрерывное наблюдение, не происходит. Только на сегодняшний день специалистам Доктор Веб известно как минимум 12 подсетей Rmnet, использующих алгоритм генерации доменов управляющих серверов. А также еще минимум две подсети Win32.Rmnet.12, которые не используют автоматическую генерацию доменов (из первой категории специалистами Symantec заблокирована только одна подсеть с seed 79159c10).

Так, согласно имеющимся в распоряжении Доктор Веб данным, в двух подсетях ботнета Win32.Rmnet.12 среднесуточная активность по-прежнему составляет порядка 250 – 270 тыс. инфицированных узлов.

Среднесуточная активность ботнета Win32.Rmnet.12, 1-я подсеть

Srednesutochnaya aktivnost botneta Win32.Rmnet.12, podset 1


Среднесуточная активность ботнета Win32.Rmnet.12, 2-я подсеть

Srednesutochnaya aktivnost botneta Win32.Rmnet.12, podset 2

В свою очередь, в отслеживаемой специалистами Доктор Веб подсети Win32.Rmnet.16 наблюдается значительно меньшая ежесуточная активность, однако и здесь не отмечается каких-либо "провалов", связанных с возможной блокировкой управляющих серверов.

Среднесуточная активность ботнета Win32.Rmnet.16

Srednesutochnaya aktivnost botneta Win32.Rmnet.16

Подобная ситуация наблюдается и при отслеживании активности компьютеров, на которых действуют вредоносные модули - Trojan.Rmnet.19.

Среднесуточная активность ботнета Trojan.Rmnet.19

Srednesutochnaya aktivnost botneta Win32.Rmnet

Вся выше приведенная статистика только лишний раз свидетельствует, что организаторы мероприятия по уничтожению бот-сети Rmnet, сумели ликвидировать далеко не все управляющие серверы данного ботнета. Как минимум 500 тыс. инфицированных различными модификациями данного вируса ПК все еще продолжают активно действовать, обращаясь к уцелевшим командным серверам.


Обновлено (28.02.2015 00:59)